Nový návrh prováděcího nařízení k Cybersecurity Act: Peer review národních certifikačních orgánů
Evropská komise zveřejnila návrh prováděcího nařízení k nařízení (EU) 2019/881 (Cybersecurity Act), které zavádí systém vzájemných hodnocení (peer review) mezi národními orgány pro kybernetickou certifikaci (NCCA).
Co je cílem?
-
zajistit jednotné postupy pro vydávání evropských certifikátů kybernetické bezpečnosti,
-
posílit důvěru v certifikáty napříč členskými státy,
-
umožnit sdílení zkušeností a osvědčených postupů mezi národními autoritami.
Jak to bude fungovat?
-
Každý národní orgán bude jednou za 5 let hodnocen dvěma orgány z jiných států a Komisí.
-
Hodnocení zahrnuje sebehodnoticí dotazník, kontrolu dokumentace, rozhovory a inspekci na místě.
-
Výsledkem je zpráva s doporučeními, jejíž shrnutí bude zveřejněno na webu ENISA.
-
ENISA se bude účastnit jako pozorovatel a zároveň poskytne metodickou podporu.
-
Náklady si hradí každý orgán sám.
Proč je to důležité?
-
Certifikační schémata EU (např. EUCC pro ICT produkty, EUCS pro cloud, EU5G pro sítě) mají zásadní význam pro posilování kybernetické odolnosti.
-
Díky peer review bude zajištěno, že všichni v EU hrají podle stejných pravidel a certifikace bude důvěryhodná i na mezinárodní úrovni.
Co bude certifikováno?
-
Produkty ICT (hardware, software, IoT zařízení),
-
Služby ICT (např. cloudové služby),
-
Procesy ICT (vývoj, provoz, správa).
Každé evropské certifikační schéma stanoví konkrétní předmět a úrovně záruky (základní, významná, vysoká).
Asociace bude vývoj tohoto návrhu sledovat a o dopadech pro členské firmy průběžně informovat.